正在阅读：最严保护条例开始执行 数字信息如何不被乱用最严保护条例开始执行 数字信息如何不被乱用

　　【PConline 资讯】据报道，欧盟为保护数据隐私而制定了一部新法《通用数据保护条例》（GDPR）。今天，这部新法在欧盟28个成员国生效。这部法律改变了那些收集、存储或处理大量欧盟居民信息的公司遵循的规则，要求他们对自己拥有的数据和用于共享的数据更加开放。

　　这意味着，任何在欧盟拥有数字业务的公司(目前仍包括英国)将不得不遵守这部法律，否则将面临巨额罚款处罚。自欧洲议会于2016年4月通过该法案以来，其将在2年内生效的最后期限已经到期。今年3月份，当剑桥分析公司(Cambridge Analytica)滥用数据丑闻曝光时，隐私权倡导者将其作为最典型例证，说明为什么互联网用户可能想要更多个人数据控制权，包括谁可以访问他们的数据。 

　　GDPR将对目前网络足迹产生重大影响，以及用户使用的应用程序和服务如何保护或利用这些数据。

　　什么是GDPR？

　　《通用数据保护条例》是一项全面的法律，赋予欧盟居民更多的个人数据控制权，并试图澄清在线服务对欧洲用户数据收集、存储以及使用的规则和责任。GDPR取代了1995年通过的欧盟数据保护 法律，并对现有的公约进行了大幅修改。新法扩大了企业必须考虑的个人数据范围，并要求它们密切跟踪存储的欧盟居民个人数据。如果欧盟某个人想要某家公司删除他或她的数据、发送数据拷贝或者更正数据中的错误，这些公司都必须照做。

　　不仅如此，欧盟居民现在可以反对公司使用他们数据的具体方式。但只要公司停止使用这些数据，他们不会介意这些数据的特定用途。更重要的是，新法要求公司在数据泄露的72小时内通知用户，目前很少有公司这么做。例如，美国个人信用评估机构Equifax遭到黑客袭击，美国和其他地区数百万用户个人信息被泄露，该公司先花了数周时间来阻止攻击，然后在告知公众之前制定好如何处理损害的计划。

　　欧盟如何实施GDPR？

　　欧盟的每个成员国都有自己的执行机制，每个国家都有自己的GDPR主管。居民可以向各自国家的管理机构投诉，违反法律的公司将面临可能非常严重的处罚。违反GDPR法律的最高罚款金额为2000万欧元，或相当于该公司年度全球收入的4%，届时哪个数额更高，就会按照哪个标准计算。

　　GDPR只适用于欧盟的公司吗?

　　并非如此，这也是它为何引发国际关注的原因之一。GDPR适用于任何收集、处理、管理或存储欧洲公民数据的组织。这包括大多数主要的在线服务和企业，它们靠收集、处理、管理或存储数据为生。正因为如此，GDPR实际上为数据保护设定了一个新的全球标准。

　　GDPR保护哪些数据?

　　该条例适用于广泛的个人数据，包括个人姓名、身份证号码。它也保护可以显示某人在线和现实世界活动的信息，包括位置信息、IP地址、cookie以及其他数据，这些数据可以让公司在用户浏览互联网时跟踪他们。

以下八点信息需要特别注意：

　　1.GDPR是有史以来规模最大，也是最具惩罚性的隐私法

　　GDPR将许多现有的欧盟数据法律合并为单一任务，并为不合规的公司建立了重要的精细结构。违反GDPR数据处理基本原则或欧盟公民的数据权利，公司可能被罚款2000万欧元或全球年收入的4％，以较大者为准。 “网络安全意识公司Habitu8的联合创始人Jason Hoenich说：”[CIO们]正在为生存和呼吸这一新监管的细节而努力。 “他们需要对他们的系统如何收集，存储，传输和删除敏感数据变得非常亲密。”

　　2. GDPR法规适用任何组织

　　GDPR适用于向欧盟公民提供产品或服务或监督其行为的任何组织。如果你只有一个网站销售你的产品或服务或收集访客信息，可能会受到这些新规定的约束。事实上，GDPR不会发生金融交易。杰克逊刘易斯律师最近在该公司的工作场所隐私，数据管理和安全报告中指出：“如果贵公司正在监控欧盟居民的行为（例如跟踪和收集有关欧盟用户的信息以预测他们的在线行为），那么GDPR可能会适用。“

　　3. GDPR合规将需要跨职能合作

　　为了遵守GDPR要求，公司必须弄清楚他们收集和存储欧盟公民个人身份信息的所有方式。这需要组织内所有部门人员之间的紧密合作，从IT到销售，营销到财务。 GDPR还要求任何组织定期处理来自欧盟的敏感信息，以指定一名数据保护官员以确保合规。根据Hoenich的说法，尽管这一角色可能属于治理，风险和合规职能部门，但聪明的CIO们将与他们新的DPO进行合作。

　　4.GDPR可以成为提高数据质量的有力手段

　　一家机构“坏数据”的平均财务影响为每年970万美元。只要符合新的欧盟规则，鼓励公司及其IT领导人重新检查和清除其数据存储，这可能会提高效率并改善整体决策。 GDPR第32条要求组织在保护个人信息方面更加有组织和正式。 “准备GDPR的公司应该考虑超越惩罚，以GDPR作为推动合规的跳板，而CIO们应该推动资源配置以获得”一线希望“的收益。首席信息官们将使企业主管能够更迅速，更具成本效益地找到大海捞针，从而就当前信息与过时信息做出决策。“

　　5.数据最小化可能有助于降低基础设施和运营成本

　　GDPR将个人数据的收集，使用和保留限制在绝对必要的范围内，鼓励公司放弃无关且过期的信息，并采用“精益数据”方式。

　　据最近发布的“确保数据隐私的内在价值”报告指出，更有目的性的数据收集可能会导致更好的回避，并指出符合GDPR的企业“应该期望降低基础设施和运营成本”。到VansonBourne进行的2017年调查中，42％的IT决策者表示强制数据删除和删除以准备GDPR将帮助他们的公司控制数据量。预计在短短几年内，GDPR将成为组织数字化未来的催化剂，通过精益数据而不是大数据产生新的增长机会。 

　　6.供应商尽职调查至关重要

　　该指令明确区分了它所称的“数据控制器” ---确定个人数据处理目的，条件和方式的组织 - 数据处理器 - 代表数据控制器处理数据的任何实体。 

　　这一区别非常重要，因为正如国际律师事务所White＆Case在其网站上指出的那样，合规的主要责任是强加给数据控制者。公司不能简单地依靠供应商的GDPR准备就绪。确定所有可以访问或处理您组织获取的个人数据的第三方，以及与他们签订合同以确保他们包含与GDPR相关的语言是至关重要的。

　　7. GDPR将要求更多的开放性和敏捷性

　　例如，法律要求组织在发生数据泄露后的72小时内发布通知。它还授予欧盟公民“被遗忘的权利，他们可以要求数据控制者在不再需要数据的情况下删除或删除他们的所有数据。

　　8.隐私设计和隐私 - 默认将成为新的规范

　　从开发过程开始考虑隐私并不是一个新想法。 然而，GDPR已经将这一概念 - 隐私设计 - 正式提出 - 作为组织在任何新产品，流程或服务的开始和整个开发过程中考虑数据隐私的法律要求。为了遵守这些规定，组织将在所有系统和流程中实施隐私设计和隐私保护原则和安全控制。